ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

តើអ្វីទៅដែលយើងហៅថា Whaling?

ដំបូង មាននូវ Phishing បន្ទាប់មកគឺ Spear Phishing ហើយក្នុងពេលនេះគឺ Whaling និងបច្ចេកទេសស្មុគស្មាញដទៃទៀត ។ ជនអាក្រក់ទាំងអស់នោះ គឺបានកំពុងតែធ្វើការកែប្រែនូវការបោកបញ្ជោតរបស់ពួកគេ។ ខាងក្រោមនេះ គឺជាអ្វីដែលត្រូវដឹង៖

តើមានអ្វីថ្មីទៅ?

បច្ចេកទេសថ្មីៗនេះ គឺ “whaling” ដែលបានទើបបង្ហាញខ្លួនថ្មីៗនេះ ហើយដែលមិនពាក់ព័ន្ធទៅនឹងការចុចរបស់បុគ្គលិកទៅលើបញ្ជប់ណាមួយឡើយ (links) ឬក៏គាត់ត្រូវបានឆ្លងនូវមេរោគនោះទេ។ ដំបូងឡើយ ឧក្រិដ្ឋជនបានធ្វើការប្រមូលព័ត៌មាន និងធ្វើការទាញយកនូវសិទ្ធអាក់សេស ដែលត្រូវការ ។ បន្ទាប់គោលដៅនោះ គឺត្រូវបានបោកបញ្ជោត (trick) ដើម្បីឲ្យធ្វើការបញ្ជូនទឹកប្រាក់ (fund transfer) ឬក៏រាំងខ្ទប់នូវប្រតិបត្តិការហិរញ្ញវត្ថុដោយផ្អែកទៅលើអីុម៉ែល មកពីអាស័យដ្ឋានអីុម៉ែលផ្ទាល់ខ្លួនរបស់ CEO ។

ជាឧទាហរណ៍ សម្រាប់រឿងរា៉វថ្មីៗនេះស្តីអំពី Alpha Payroll បានបង្ហាញនូវវិធីសាស្ត្រដែលបុគ្គលិកក្រុមហ៊ុនបានឆ្លើយតបទៅនឹងសំណើរដែល មើលទៅទំនងជាមកពី CEO របស់ Alpha Payroll ។ នៅក្នុងអីុម៉ែលក្លែងក្លាយនោះបានរៀបចំសំណើរថា “Copies of all the 2015 W-2 forms produced by Alpha Payroll on behalf of its customers.”

ខាងក្រោមនេះ គឺជាព័ត៌មានបន្ថែមទៀត ៖

“Later, on April 8 — after an Alpha Payroll customer reported their staff had fraudulent tax returns filed under their Social Security numbers — an internal investigation discovered the successful phishing attack. …

នៅក្នុងខែមេសា ឆ្នាំ២០១៦, Phoenix Division នៃ FBI បានធ្វើការព្រមានជាផ្លូវការមួយទៅដល់អាជីវកម្មទាំងអស់ អំពីការកើនឡើងនូវ business email compromise scams (BEC) ។ ខាងក្រោមនេះ គឺជាអ្វីដែលមាននៅក្នុងសេចក្តីប្រកាសរបស់ FBI:

“The schemers go to great lengths to spoof company email or use social engineering to assume the identity of the CEO, a company attorney or trusted vendor. They research employees who manage money and use language specific to the company they are targeting, then they request a wire fraud transfer using dollar amounts that lend legitimacy. …

ការបោកប្រាក់ ឬបន្លំនេះ គឺមានច្រើនទម្រង់ណាស់។ ជនរងគ្រោះគឺចាប់ផ្តើមមានចាប់ពី សហគ្រាសធំៗរហូតដល់ក្រុមហ៊ុនបច្ចេកវិទ្យា រហូតដល់អាជីវកម្មធនតូចមធ្យម និងអង្គការមិនរកប្រាក់ចំណេញ។ ភាគច្រើន ការបោកប្រាស់នោះគឺមានគោលដៅទៅលើអាជីវកម្មដែលធ្វើការទាក់ទងជាមួយ នឹងអ្នកផ្គត់ផ្គង់ក្រៅប្រទេស ឬអ្នកដែលដំណើរការនូវការផ្ទេរប្រាក់ជាទៀងទាត់។

អាជ្ញាធរមានសមត្ថកិច្ចទូទាំងពិភពលោក បានទទួលនូវការប្តឹងពីជនរងគ្រោះនៅក្នុងគ្រប់រដ្ឋនិមួយៗនៅក្នុង U.S State ហើយក្នុងយ៉ាងហោចណាស់ នៅក្នុង ៧៩ ប្រទេស ។ ចាប់ពីខែតុលា ២០១៣ រហូតដល់ខែកុម្ភៈ ២០១៦ អាជ្ញាធរមានសមត្ថកិច្ចបានទទួលនូវរបាយការណ៍មកពីជនរងគ្រោះចំនួន ១៧,៦៤២ នាក់ ដែលធ្វើឲ្យមានការខាតបង់ច្រើនជាង ២.៣ Billion ដុល្លាអាមេរិក ។ ចាប់ពីខែមករា ឆ្នាំ២០១៥ មក ខាង FBI បានមើលឃើញនូវការកើនឡើង ២៧០ភាគរយ ។ នៅក្នុងរដ្ឋ Arizona ការបាត់បង់ជាមធ្យមក្នុង scam មួយគឺនៅចន្លោះពី ២៥,000ដុល្លា និង ៧៥,០០០ដុល្លា។

ខាងក្រោមនេះគឺជាវិដេអូ ដែលពន្យល់បន្ថែមពីសកម្មភាពក្លែងបន្លំខាងលើ

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Check Also
Close
Back to top button